+7 (812) 325 84 00
+7 (499) 322 07 96
13.02.2012
Михаил Пышкин, Александр Астахов
Если представить здание информационной безопасности современной организации стоящим на трех китах, то этими китами должны быть системы управления рисками, соответствием и изменениями – со всеми своими процессами, их организационными и техническими составляющими и разнообразными сложными взаимосвязями между ними. Первые две из перечисленных систем, используя риск-ориентированный подход, нормативную базу и передовой опыт, задают уровень защищенности информационных активов организации, в то время как третья обеспечивает сохранение и поддержание этого уровня, благодаря чему система управления информационной безопасностью организации (СУИБ) имеет возможность находиться в относительно стабильном состоянии.
Источники угроз
В современном быстро меняющемся мире развитие информационных технологий приводит к тому, что происходящие с компаниями изменения становятся серьезным вызовом их безопасности. Такие явления, как слияния и поглощения, текучка кадров, вывод на рынок новых продуктов и услуг и связанное с этим изменение внутренних процессов угрожают снижением уровня защищенности активов.
Взаимосвязь ИТ-процессов (ISO/IEC 20000)
Одной из основных причин инцидентов в сфере информационной безопасности являются изменения, влияющие на ИТ-инфраструктуру. Этому способствуют такие факторы, как недостаточная готовность или адаптируемость персонала к изменениям, вечная нехватка ресурсов, недостаточная обученность персонала работе с новыми технологиями, слабый анализ воздействия изменений и т. п.
Управление изменениями, помимо организационной составляющей, определяемой корпоративной политикой, процедурами, стандартами, компетенциями, ответственностью персонала и прочим, включает не менее важную технологическую составляющую, связанную с использованием современных программных и аппаратных средств, предназначенных для фиксации и анализа изменений, предотвращения нежелательных изменений и восстановления после таких изменений.
В данной статье основные технологические аспекты управления изменениями рассматриваются на примере комплекса программного обеспечения компании NetWrix, предназначенного для аудита изменений. Не менее важным вопросом также является то, каким образом и в какой степени данная продуктовая линейка может использоваться для обеспечения соответствия нормативным требованиям РФ в области информационной безопасности.
Аудит изменений и жизненный цикл систем менеджмента
Важное место аудит изменений занимает в жизненном цикле систем менеджмента ИТ-сервисов, построенных на базе ISO 20000, и систем менеджмента информационной безопасности, построенных на базе ISO 27001. В рамках используемого данными системами цикла Деминга на стадии "Проверка" среди прочих вопросов требуется осуществлять аудит изменений, влияющих на обеспечение соответствия законодательству и отраслевому регулированию, внутренним политикам и процедурам. Управление изменениями также входит в указанные стандарты и как отдельный процесс. Помимо этого, процесс управления изменениями лежит в основе многих других процессов, таких как управление инцидентами и непрерывностью бизнеса, контроль и восстановление целостности, обнаружение и предотвращение вторжений.
Функции средств управления событиями безопасности и аудита изменений
· централизованный аудит, анализ и корреляция событий безопасности,
· поиск, фильтрация событий и подготовка отчетов об изменениях,
· различные формы уведомлений о событиях безопасности, инцидентах и критичных изменениях ИТ-инфраструктуры, состава и конфигурации программных и аппаратных средств,
· архивирование событий безопасности,
· резервное копирование, восстановление данных и конфигурационной информации,
· сохранение контрольных точек и откат изменений.
Аудит изменений позволяет не только проводить полноценное расследование инцидентов безопасности, но и повышает ответственность персонала за свои действия, предоставляет возможность многократного контроля вносимых изменений со стороны различных должностных лиц, а также согласование и утверждение изменений. Это снижает вероятность экспертных ошибок и уменьшает проявления "человеческого фактора". В то же время, управление изменениями служит не только целям информационной безопасности. Как показано на рисунке, оно является одним из центральных процессов в управлении ИТ-инфраструктурой и услугами.
NetWrix: ответы на вопросы
В качестве одного из многочисленных примеров, подчеркивающих важность аудита изменений, можно привести утечку корпоративной переписки крупной компании из почтового ящика одного из сотрудников. При расследовании не удалось установить, кто это сделал и когда. Во-первых, не велся журнал доступа (из-за его большого размера). Во-вторых, регистрация была возможна только по IP-адресу, но из-за динамической модели распределения внутренних IP-адресов утрачивался смысл регистрации и т. д.
Подобного рода проблемы решаются путем применения целого комплекса специализированных средств аудита изменений, подобно тем, которые разрабатывает американская компания NetWrix. Для различных систем и приложений эти продукты дают конкретные ответы на вопросы: кто получал доступ к почтовому ящику другого пользователя в MS Exchange, кто изменил права доступа к файлам и папкам, кто получал доступ к конфиденциальным файлам, кто удалил файлы с сервера, кто установил программное обеспечение и другие.
Решения компании NetWrix, кроме указанных выше возможностей, предлагают полный аудит всех изменений ИТ-инфраструктуры, построенной на базе MS Windows.
Аудит изменений позволяет получить ответы на четыре основных вопроса по каждому изменению: кто сделал изменение, что изменилось, когда и где сделаны изменения?
Помимо средств аудита изменений могут потребоваться программы для управления учетными записями пользователей и паролями. Эти задачи решают такие продукты, как Account Lockout Examiner, Inactive Users Tracker, Privileged Account Manager и Bulk Password Reset.
Как показывает проведенный компанией GlobalTrust анализ нормативных требований, данная продуктовая линейка обеспечивает выполнение значительного объема требований, предъявляемых к защите персональных данных, банковской и платежной информации, а также прочих видов конфиденциальной информации.
Обеспечение соответствия нормативным требованиям
Наибольшее значение управление изменениями приобретает в связи с необходимостью обеспечения соответствия законодательству и отраслевому регулированию. В первую очередь, за счет появления новых требований со стороны регуляторов и усиления их контроля, а также за счет влияния оглашаемых фактов нарушений нормативных требований на имидж и репутацию компании.
Для российских компаний сегодня наиболее актуальны такие регулятивные документы, как международный стандарт на систему управления информационной безопасностью ISO 27001, стандарт Банка России СТО БР ИББС, стандарт в отношении пластиковых карт PCI-DSS и 152-ФЗ "О персональных данных".
Значительная часть требований нормативных документов реализуется средствами аудита изменений и управления ИТ-инфраструктурой NetWrix. В частности, они закрывают требования по доступу к платежной информации, идентификации и аутентификации пользователей, управлению паролями и учетными записями, управлению изменениями, расследованию инцидентов, контролю соответствия, управлению коммуникациями и операциями, регистрации и учету событий, обнаружению попыток несанкционированного доступа и многие другие.
Решения NetWrix по управлению ресурсами
Источник: